Institucije neozbiljno pristupaju zaštiti podataka

Tvrdnje nadležnih da su maksimalno posvećeni čuvanju podataka više ne mogu umiriti javnost nakon hakerskog napada na Integrisani zdravstveni informacioni sistem (IZIS) i Poresku upravu RS zbog kojeg su se na crnom tržištu našli lični podaci građana.

Piše: D. T. – B. N. (Capital)

Nakon dva hakerska napada na institucije RS pokušali smo odgovoriti na pitanje koliko su bezbjedni podaci građana i ko je odgovoran u slučaju njihovog curenja.

Sagovornici CAPITAL-a ocjenjuju da institucije nisu posvetile dovoljno pažnje bezbjednosti ličnih podataka i da je neophodno uložiti dodatne napore kako bi se građanima i pravnim licima obezbijedila adekvatna zaštita i povjerenje u institucije.

Direktor Agencije za zaštitu ličnih podataka Bosne i Hercegovine Dragoljub Reljić kaže da institucije u BiH ne shvataju ozbiljno zaštitu ličnih podataka, te da je neophodno donijeti novi zakon o zaštiti ličnih podataka koji će propisati jedan viši nivo zaštite.

„Oni uopšte ne shvataju ozbiljno zaštitu ličnih podataka. Kada smo uradili zakon i otišli u nadležna ministarstva, dobili smo negativno mišljenje o njemu. Rekli su nam da to nema u pravnom poretku BiH. Pa naravno da nema, zato i uvodimo. Nije nekad bilo ni javnih nabavki, pa su uvedene. Moramo uvesti novine da bi profunkcionisalo“, naveo je Reljić.

Dodao je da su po novom zakonu, koji je pripremljen, za zloupotrebu ličnih podataka minimalne kazne tri do četiri puta, a maksimalne i po nekoliko desetina puta veće.

Rekao je da je opasno kada hakeri dođu do podataka iz bilo koje institucije jer su njihovi potezi nepredvidivi.

„Da li će oni zaključati te podatke i da li će tražiti otkup, jako je teško utvrditi šta će oni uraditi. Prošli put kada su hakeri upali u sistem Međunarodnog crvenog krsta, savjetovali smo građane da sve podatke koji su vezani sa tim promijene, kao što su pin kodovi i sve ono na osnovu čega bi neko nešto mogao da zloupotrijebi“, istakao je Reljić.

IZIS pod lupom

Dragoljub Reljić kaže da je Agencija zaprimila jednu prijavu u vezi sa hakerskim napadom na IZIS i da će po toj prijavi postupiti kao po svakoj drugoj.

„Zaprimili  smo određene akte od građana i inspektori su trenutno angažovani na tom predmetu“, rekao je Reljić.

Dodao je da dodatni problem predstavlja to što je u Agenciji za zaštitu ličnih podataka zaposleno svega devet ljudi, te da ti ljudi vode računa o podacima u cijeloj BiH.

Advokat Igor Letica kaže da javni organ na čiji je sistem izvršen hakerski napad ima status kontrolora ličnih podataka te da on samostalno ili sa drugima vodi, obrađuje i utvrđuje svrhu i način obrade ličnih podataka na osnovu zakona ili drugih propisa.

„Specifičnost hakerskog napada na IZIS je u tome što ovaj sistem sadrži osjetljive podatke građana koji se, između ostalog, odnose na njihovo zdravstveno stanje, te u tom smislu predstavljaju posebnu kategoriju ličnih podataka. Pored toga, ovaj sistem sadrži i niz drugih podataka građana koji se u kontekstu važećih propisa smatraju ličnim podacima“, rekao je Letica.

Provjeriti da li je primijenjena adekvatna zaštita

Kaže da se radi o hakerskom napadu širokih razmjera, kojim je pogođen jako veliki broj lica, pa je potrebno utvrditi da li je javni organ i obrađivač podataka koji je angažovan za potrebe upravljanja i održavanja računarskim sistemima i pohranjenim podacima, primjenjivao adekvatne tehničke i organizacione mjere zaštite ličnih podataka.

„Nažalost, nekada je čak i uz primjenu najsavremenijih tehničko-tehnoloških mjera zaštite moguće da hakeri uspješno izvrše napad i dođu do ličnih podatakaOdgovor organa javne vlasti prije svega bi trebao biti u sprovođenju adekvatne istrage od strane Ministarstva unutrašnjih poslova, odnosno Jedinice za visokotehnološki kriminalitet i utvrđivanju odgovornosti, budući da se u slučaju napada na IZIS može govoriti o sticaju krivičnih djela“, dodao je Letica.

Radi zaštite prava na privatnost i ličnih podataka, naglasio je, nosioci podataka mogu podnijeti prigovor Agenciji za zaštiti ličnih podataka BiH, ukoliko ustanove ili posumnjaju da su kontrolor ili obrađivač podataka izvršili povredu prava.

„Međutim, kontrolor ili obrađivač podataka mogu biti oslobođeni odgovornosti ako dokažu da nisu mogli spriječiti povredu prava nosioca podataka. Stoga je, kao što sam već naveo, prvenstveno potrebno utvrditi da li je došlo do bilo kakvog propusta kod primjene mjera zaštite podataka, a tek nakon toga razmatrati dalje mogućnosti za ostvarivanje prava građana pogođenih napadom“, rekao je Letica.

U svakom slučaju, ističe, ovaj napad nas opominje da je potrebno uložiti dodatne napore i primjenjivati visoke mjere zaštite, posebno imajući u vidu dimenzije koje poprimaju zloupotrebe ličnih podataka u savremenom tehnološkom okruženju.

Predsjednik Unije poslodavaca Republike Srpske Saša Trivić kaže za CAPITAL da su podaci prduzeća kojima raspolaže Poreska uprava RS manje-više javni i da ovaj napad ne bi trebao da ima nekih posljedica po privrednike.

„Siguran sam da je Poreska uprava RS je sistem u poreskoj bio adekvatno zaštićen, ali tehnologija se konstantno razvija i ako vi ne obnavljate zaštitu upadate u problem. Što se tiče posljedica po privredu, Poreska uprava nema nikakve posebne podatke koji već nisu javni. Završni računi su i u APIF-u, u njima nema nikakve poslovne tajne, koliki je ko imao promet ili zaradu, to nisu podaci zbog kojih bi neko propao i oni su dostupni na plaćenim platformama“, rekao je Trivić.

On kaže da bi možda veći problem mogla da ima Poreska uprava ukoliko dođe do gubitka podataka o dužnicima ako nemaju sačuvane baze podataka.

Kaže da za ozbiljne hakerske priče nema jednostavnog rješenja i da meta napada budu mnogo veće institucije i kompanije od naših.

„Ja sam ima slučaj u jednoj svojoj firmi da su mi hakeri upali u sistem i tražili novac da ga otključaju. Mi smo to platili i nakon toga mijenjali svoju bezbijednost. To je bio neki sitan novac, dok ima slučaj jede velike firme kojoj su hakeri tražili dva miliona KM, ali im oni to nisu platili“, rekao je Trivić.

Dodaje da i privrednici svoj nivo zaštite moraju podići na viši nivo jer je jasno da niko nije potpuno bezbjedan i da svi mogu postati meta hakera.

Kaže da kod njega svaki računar u firmi ima svoju šifru, da je zabranjen pristup internetu, kao i da se USB-ovi ne mogu koristiti.

Podsjećamo, posljednjeg dana prošle godine hakeri su napali i zaključali IZIS koji je od tada nedostupan, a juče s hakeri napali i Poresku upravu RS, dok su lični podaci građana, prema tvrdnjama IT stručnjaka, završili na crnom tržištu.

Povezane vijesti

NAJNOVIJI ČLANCI